MENÚ
Por muy cuidadosos que queramos ser a la hora de exponer nuestros datos personales en Internet, hay veces que no podemos evitar hacerlos públicos. Por ejemplo, al ser autónomo y propietario de una empresa y verse obligado a publicar en su página web ciertos datos de contacto, aunque sean referentes a la compañía. Es el caso de la autora de una de las preguntas que incluye el consultorio tecnológico de esta semana, así que vamos a ver qué pasos podemos seguir para mitigar el impacto que puede causar esa exposición de información personal.
Su preocupación es que el tener esos datos públicos en una página web llevase a que se usaran con fines ilegítimos o para los que no se hubiese dado autorización. Por ejemplo, usar los datos de contacto para incluirlos en paquetes comerciales, para cometer fraude o incluso para suplantar su identidad.
Tanto humanos como bots podrían registrar los datos personales que publiquemos en una web
La recogida de datos podría hacerse de dos maneras: manualmente (es decir, que una persona de forma proactiva registrase y usase los datos) o de forma automatizada. Esta segunda opción consistiría en el scrapeo de información de diferentes fuentes en Internet, como bases de datos públicas (por ejemplo, el BOE), redes sociales o páginas web. Se lleva a cabo mediante bots: programas informáticos automatizados con distintos objetivos, como el escanear una web en busca de información. A este tipo de programas también se les conoce en el mundo informático como ‘arañas’.
Frente a la recogida indiscriminada de datos que colgamos en páginas web por distintos motivos, hay varios pasos que podemos seguir para protegerlos. De menor a mayor dificultad para el usuario, podríamos ordenarlos de la siguiente manera: limitar en la medida de lo posible la cantidad y la categoría de los datos que publicamos; introducir un intermediario como un ‘CAPTCHA’ en la página en la que se alojan los datos; o instalar lo que se conoce como un firewall de aplicación web (Web Application Firewall o WAF, por sus siglas en inglés).
Desde el punto de vista legal, es cierto que hay ciertos datos que debemos incluir en una página web si ofrecemos un producto o un servicio a través de ella. La información clave que debe mostrar una página web viene marcada por la Ley de Servicios de la Sociedad de la Información, tal y como nos explica Vanesa Alarcón, abogada especializada en derecho digital en Ecija.
"Nombre o denominación social, residencia o domicilio; el correo electrónico, los datos registrales de la sociedad mercantil (cuando se tenga)", enumera. También, si se busca establecer canales de comunicación directa, se pueden incluir teléfonos de contacto, canales o redes sociales de atención al cliente, entre otras. "También es preciso el número de identificación fiscal, y si la por la actividad de la Web lo requiere, los precios del producto o servicios (indicando si incluye o no los impuestos, o los gastos de envío), y los códigos de conductas, a los que se encuentre la entidad adherida", añade. A esto habría que añadir, cuando proceda, un número de colegiado según la profesión desempeñada.
Usar fórmulas para evitar mencionar más de la cuenta nuestro nombre o añadir un domicilio de coworking o un apartado de correos
¿Hay alguna forma de minimizar la exposición de estos datos? Según explica a Maldita.es Alarcón, "podemos indicar, por ejemplo, el nombre en el apartado de datos de contacto o de titularidad de la página nuestro nombre comercial, utilizando la fórmula 'en adelante, NOMBRE COMERCIAL' con lo cual, los nombres, no aparecerán repetidos en tantas ocasiones". Otra fórmula, indica, consistiría en considerar añadir un domicilio de coworking o incluso un apartado de correos para evitar exponer los datos del domicilio particular.
Una vez sabemos qué datos podemos incluir y cuáles no, pasamos al siguiente nivel de protección, que consiste en establecer una especie de barrera entre la página web y el usuario que la visita. ¿Por ejemplo? A través de un test CAPTCHA. Como hemos contado ya en Maldita.es, un CAPTCHA es una forma de autentificación para que los proveedores de servicios comprueben que no somos bots. Se presentan en forma de puzles o pequeños rompecabezas que tenemos que resolver para acceder a una web.
Estas pruebas se diseñan precisamente para evitar que haya programas automatizados accediendo continuamente a las webs, por lo que puede actuar como barrera entre distintos apartados de una misma página. En nuestro caso, nos interesaría esconder tras uno de estos tests los datos personales que no queremos que sean scrapeados.
Marc Almeida, analista de datos, explica a Maldita.es que esto supondría “poner una pequeña cerradura” al sitio donde se alojan nuestros datos. Al final, destaca, se trata de hacerlos públicos pero “nos aseguramos en la medida de lo posible que sea un humano quien los vea”.
Test CAPTCHA, esconder detrás de un click los datos o usar un 'firewall'
Si en vez de por uno de estos puzles queremos optar por algo más sencillo, el analista recomienda instalar en nuestra página web “un botón que genere o expanda los datos en el momento en el que se hace clic”. Esto evitaría que la información personal esté siempre en abierto en la web, y que solo se hicieran visibles para el usuario cuando este desplegase la ventana que los contiene. Este tipo de trabas también pueden frenar a los bots.
El tercer y último paso que podríamos seguir requiere de conocimientos técnicos o, como mínimo, recurrir a una persona profesional que los tenga. “Evitar el scraping es complicado, sobre todo si es en una sección específica, pero se puede probar el uso de CSS para mostrar esos datos o el más efectivo: usar un firewall de aplicaciones tipo web (WAF)”, nos recomienda Ana Isabel Corral, especialista en ciberinteligencia y seguridad informática.
¿Qué es un CSS? Son las siglas del término inglés Cascading Style Sheets (u “hojas de estilo en cascada” en español). Es un tipo de código informático usado para personalizar en mayor o menor grado la apariencia y las funciones de una web. De esta manera, señala Corral, se podría modificar el sitio web para que los datos no fueran tan expuestos en la web o incluso no quedaran reflejados.
Vale, ¿y un WAF? Corral explica que esta tecnología bloquea las “llamadas” injustificadas que se hacen a una página web, es decir, cuando tecleamos una dirección web para acceder a ella. “Lo que hacen [los WAF] es pelear contra los bots. Identifican la conexión, el acceso a la web y, dentro de si lo es un bot o no y si saben si es malicioso o no lo dejan pasar”, añade Almeida. ¿Qué bots son esos? Los de Google, las arañas de rastreo son, según este analista, “más o menos buenos”. Algunas de las empresas que ofrecen estos servicios son Cloudflare o Transparent CDN, señala el analista.
¿Cómo se hace esa identificación? También nos lo explica: “Un bot, si lo que busca son los datos del usuario, lo que va a intentar hacer es abrir todas las páginas, realizar x peticiones, a ver si encuentra el apartado de ‘about’ o el ‘acerca de’ y hacer varias peticiones en muy poco tiempo. En base a eso, considera si es humano o no”.
De modo que, dependiendo de los recursos y la familiaridad del usuario con el desarrollo web, podrían usarse diferentes métodos para ocultar estos datos: directamente limitando la información publicada, ocultándola tras test CAPTCHA y otras funcionalidades que los escondan de las páginas principales, o contratando un servicio de WAF que bloquee los accesos indebidos. Para esta última opción también se puede acudir a un especialista.
